Zastava Bosne i Hercegovine | Zastava Crne Gore
Email Print

NACRT ZAKONA O IZMENAMA I DOPUNAMA ZAKONA O INFORMACIONOJ BEZBEDNOSTI - Tekst propisa


Član 1.

U         Zakonu o informacionoj bezbednosti ("Službeni glasnik RS", br. 6/16 i 94/17) u članu 2. stav 1. tač. 2) i 15), članu 5. stav 2, članu 6. stav 1. tačka 1) i članu 15. stav 1. tačka 5) reči: "organi javne vlastiˮ u određenom padežu zamenjuju se rečima: "organi vlastiˮ u odgovarajućem padežu.

Član 2.

U         članu 2. stav 1. tačka 1) podtačka (3) reč: ""pohranjujeˮ zamenjuje se rečima "vode, čuvajuˮ.

Tačka 15) menja se i glasi:

"15) organ vlasti je državni organ, organ autonomne pokrajine, organ jedinice lokalne samouprave, organizacija i drugo pravno ili fizičko lice kome je povereno vršenje javnih ovlašćenja;ˮ

Tačka 24) menja se i glasi:

"24) informaciona dobra obuhvataju podatke u datotekama i bazama podataka, programski kôd, konfiguraciju hardverskih komponenata, tehničku i korisničku dokumentaciju, zapise o korišćenju hardverskih komponenti, podataka iz datoteka i baza podataka i sprovođenju procedura ako se isti vode, unutrašnje opšte akte, procedure i slično;ˮ

Posle tačke 24) dodaju se tač. 25) i 26), koje glase:

"25) usluga informacionog društva je usluga u smislu zakona kojim se uređuje elektronska trgovina;

26)       pružalac usluge informacionog društva je pružalac usluge u smislu zakona kojim se uređuje elektronska trgovinaˮ.

Član 3.

Posle člana 3. dodaje se naziv člana i član 3a, koji glase:

"Obrada podataka o ličnosti

Član 3a

U         slučaju obrade podataka o ličnosti prilikom vršenja nadležnosti i ispunjenja obaveza iz ovog zakona postupa se u skladu sa propisima koji uređuju zaštitu podataka o ličnosti.ˮ

Član 4.

U         članu 5. stav 1. nakon reči "Generalnog sekretarijata Vladeˮ dodaju se reči: "Narodne banke Srbije", a reči: "CERT-a republičkih organa i Nacionalnog CERT-aˮ zamenjuju se rečima: "Centra za bezbednost IKT sistema u organima vlasti i Nacionalnog centra za prevenciju bezbednosnih rizika u IKT sistemima.ˮ

Član 5.

Član 6. menja se i glasi:

"IKT sistemi od posebnog značaja

Član 6.

IKT sistemi od posebnog značaja su sistemi koji se koriste:

1)         u obavljanju poslova u organima vlasti;

2)         za obradu posebnih vrsta podataka o ličnosti, u smislu zakona koji uređuje zaštitu podataka o ličnosti;

3)         u obavljanju delatnosti od opšteg interesa i drugim delatnostima i to u sledećim oblastima:

(1)        energetika:

-           proizvodnja, prenos i distribucija električne energije;

-           proizvodnja i prerada uglja;

-           istraživanje, proizvodnja, prerada, transport i distribucija nafte i promet nafte i naftnih derivata;

-           istraživanje, proizvodnja, prerada, transport i distribucija prirodnog i tečnog gasa.

(2)        saobraćaj:

-           železnički, poštanski, vodeni i vazdušni saobraćaj;

(3)        zdravstvo:

-           zdravstvena zaštita;

(4)        bankarstvo i finansijska tržišta:

-           poslovi finansijskih institucija;

(5)        digitalna infrastruktura:

-           razmena internet saobraćaja;

-           upravljanje registrom nacionalnog internet domena i sistemom za imenovanje na mreži (DNS sistemi)

(6)        dobra od opšteg interesa:

-           korišćenje, upravljanje, zaštita i unapređivanje dobara od opšteg interesa (vode, putevi, mineralne sirovine, šume, plovne reke, jezera, obale, banje, divljač, zaštićena područja);

(7)        usluge informacionog društva:

-           usluge platforme za elektronsku trgovinu;

-           usluge internet pretraživanja;

-           usluge računarstva u oblaku (Cloud computing service);

-           usluge servisa za elektronsku razmenu podataka (Electronic data Interchange – EDI);

(8)        ostale oblasti:

-           elektronske komunikacije;

-           izdavanje službenog glasila Republike Srbije;

-           upravljanje nuklearnim objektima;

-           proizvodnja, promet i prevoz naoružanja i vojne opreme;

-           upravljanje otpadom;

-           komunalne delatnosti;

-           proizvodnja i snabdevanje hemikalijama.

4)         u pravnim licima i ustanovama koje osniva Republika Srbija, autonomna pokrajina ili jedinica lokalne samouprave za obavljanje delatnosti iz tačke 3) ovog stava.

Vlada, na predlog ministarstva nadležnog za poslove informacione bezbednosti, utvrđuje listu delatnosti iz stava 1. tačka 3) ovog člana.ˮ

Član 6.

Posle člana 6. dodaju se čl. 6a i 6b, koji glase:

"Obaveze operatora IKT sistema od posebnog značaja

Član 6a

Operator IKT sistema od posebnog značaja u skladu sa ovim zakonom u obavezi je da:

1)         upiše IKT sistem od posebnog značaja kojim upravlja u evidenciju operatora IKT sistema od posebnog značaja;

2)         preduzme mere zaštite IKT sistema od posebnog značaja;

3)         donese akt o bezbednosti IKT sistema;

4)         vrši proveru usklađenosti primenjenih mera zaštite IKT sistema sa aktom о            bezbednosti IKT sistema i to najmanje jednom godišnje;

5)         uredi odnos sa trećim licima na način koji obezbeđuje preduzimanje mera zaštite tog IKT sistema u skladu sa zakonom, ukoliko poverava aktivnosti u vezi sa IKT sistemom od posebnog značaja trećim licima;

6)         dostavlja obaveštenja o incidentima koji značajno ugrožavaju informacionu bezbednost IKT sistema;

7)         dostavi statističke podatke o incidentima u IKT sistemu.

Evidencija operatora IKT sistema od posebnog značaja

Član 6b

Nadležni organ uspostavlja i vodi evidenciju IKT sistema od posebnog značaja (u daljem tekstu: Evidencija) koja sadrži:

1)         naziv operatora IKT sistema od posebnog značaja;

2)         ime i prezime, službena adresa za prijem elektronske pošte i kontakt telefon administratora IKT sistema od posebnog značaja;

3)         ime i prezime, službena adresa za prijem elektronske pošte i kontakt telefon odgovornog lica IKT sistema od posebnog značaja

4)         podatak o vrsti IKT sistema od posebnog značaja, u skladu sa članom 6. ovog zakona.

Operator IKT sistema od posebnog značaja dužan je da IKT sistem od posebnog značaja kojim upravlja upiše u evidenciju iz stava 1. ovog člana.

Operator IKT sistema od posebnog značaja dužan je da nadležnom organu dostavi podatke iz stava 1. najkasnije 90 dana od dana usvajanja propisa iz člana 6. stava 2.   ovog zakona, odnosno 90 dana od dana uspostavljanja IKT sistema od posebnog značaja.

Nadležni organ stavlja na raspolaganje nacionalnom centru za prevenciju bezbednosnih rizika u IKT sistemima (u daljem tekstu: nacionalni CERT) ažurnu evidenciju iz stava 1. ovog člana.ˮ

Član 7.

U         članu 7. stav 2. reč: "minimizacijaˮ zamenjuje se rečju: "smanjenje.ˮ

U         stavu 3. tačka 11) reč: "odnosnoˮ zamenjuje se rečju: "iˮ.

U         tački 23) reči: "pitanja informacione bezbednostiˮ zamenjuju se rečima: "ispunjenje zahteva za informacionu bezbednostˮ.

Član 8.

Član 11. menja se i glasi:

"Obaveštavanje o incidentima

Član 11.

Operatori IKT sistema od posebnog značaja obaveštavanje o incidentima u IKT sistemima koji mogu da imaju značajan uticaj na narušavanje informacione bezbednosti vrše preko portala Nadležnog organa ili Nacionalnog CERT-a u jedinstveni sistem za prijem obaveštenja o incidentima Jedinstveni sistem za prijem obaveštenja o incidentima održava Nadležni organ.

Izuzetno od stava 1. ovog člana, obaveštenje o incidentima se upućuje:

1)         Narodnoj banci Srbije, u slučaju incidenata u IKT sistemima iz člana 6. stav 1. tačka 3) podtačka (4) ovog zakona;

2)         regulatornom telu za elektronske komunikacije u slučaju incidenata u IKT sistemima iz člana 6. stav 1. tačka 3) podtačka 8) alineja prva ovog zakona:

3)         Centru za bezbednost IKT sistema u organima vlasti, u slučaju incidenata u IKT sistemima koji su povezani na Jedinstvenu informaciono-komunikacionu mrežu elektronske uprave.

Narodna banka Srbije, regulatorno telo za elektronske komunikacije i Centar za bezbednost IKT sistema u organima vlasti obaveštenja iz stava 2. ovog člana dostavljaju u jedinstveni sistem za prijem obaveštenja o incidentima na način iz stava 1. ovog člana.

U slučaju incidenata u IKT sistemima za rad sa tajnim podacima operatori tih IKT sistema postupaju u skladu sa propisima kojima se uređuje oblast zaštite tajnih podataka.

Odredbe st. 1 i 2. ovog člana ne odnose se na samostalne operatore IKT sistema.

Vlada, na predlog Nadležnog organa, uređuje postupak obaveštavanja o incidentima, listu, vrste i značaj incidenata prema nivou opasnosti, postupanje i razmenu informacija o incidentima između organa iz člana 5. ovog zakona.

Ako je incident od interesa za javnost, Nadležni organ, odnosno organ iz stava 2. ovog člana kome se upućuju obaveštenja o incidentima, može objaviti informaciju o incidentu, nakon savetovanja sa operatorom IKT sistema od posebnog značaja koji je dostavio obaveštenje o incidentu.

Ako je incident vezan za izvršenje krivičnih dela koja se gone po službenoj dužnosti, organ kome je upućeno obaveštenje o incidentu, obaveštava nadležno javno tužilaštvo, odnosno ministarstvo nadležno za unutrašnje poslove.

Ako je incident povezan sa značajnim narušavanjem informacione bezbednosti, koje ima ili može imati za posledicu ugrožavanje nacionalne bezbednosti, organ kome je upućeno obaveštenje o incidentu obaveštava Bezbednosno-informativnu agenciju.

Ako je incident povezan sa narušavanjem prava na zaštitu podataka o ličnosti, organ kome je upućeno obaveštenje o incidentu i samostalni operator IKT sistema, o tome obaveštavaju i Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti.

U slučaju nastupanja okolnosti ugrožavanja, ometanja rada ili uništenja IKT sistema od posebnog značaja rukovođenje i koordinaciju sprovođenja mera i zadataka u navedenim okolnostima preduzima Republički štab za vanredne situacije, u skladu sa zakonom.ˮ

Član 9.

Posle člana 11. dodaju se čl. 11a i 11b, koji glase:

"Incidenti u IKT sistemima od posebnog značaja koji mogu da imaju značajan uticaj na narušavanje informacione bezbednosti

Član 11a

Operator IKT sistema od posebnog značaja dužan je da prijavi sledeće incidente koji mogu da imaju značajan uticaj na narušavanje informacione bezbednosti:

1)         incidente koji dovode do prekida kontinuiteta vršenja poslova i pružanja usluga, odnosno znatnih teškoća u vršenju poslova i pružanju usluga;

2)         incidente koji utiču na veliki broj korisnika usluga, ili traju duži vremenski period;

3)         incidente koji dovode do prekida kontinuiteta, odnosno teškoća u vršenju poslova i pružanja usluga, koji utiču na obavljanje poslova i vršenje usluga drugih operatora IKT sistema od posebnog značaja ili utiču na javnu bezbednost;

4)         incidente koji dovode do prekida kontinuiteta, odnosno teškoće u vršenju poslova i pružanju usluga i imaju uticaj na veći deo teritorije Republike Srbije;

5)         incidente koji dovode do neovlašćenog pristupa zaštićenim podacima čije otkrivanje može ugroziti prava i interese onih na koje se podaci odnose;

6)         incidente koji su nastali kao posledica incidenta u IKT sistemu iz člana

6.         stav 1. tačka 3) podtačka (7) ovog zakona, kada IKT sistem od posebnog značaja u svom poslovanju koristi informacione usluge IKT sistema iz člana 6. stav 1. tačka 3) podtačka (7) ovog zakona.

Operator IKT sistema od posebnog značaja dužan je da prijavi i incidente koji su doveli do značajnog povećanja rizika od nastupanja posledica iz stava 1. ovog člana.

Dostavljanje statističkih podataka o incidentima

Član 11b

Operator IKT sistema od posebnog značaja dužan je da, pored obaveštavanja o incidentima iz člana 11. ovog zakona, dostavi Nacionalnom CERT-u statističke podatke o svim incidentima u IKT sistemu u prethodnoj godini najkasnije do 28. februara tekuće godine.

Nacionalni CERT objedinjene statističke podatke iz stava 1. ovog člana dostavlja Nadležnom organu i objavljuje ih na portalu Nacionalnog CERT-a.

Vrstu statističkih podataka iz stava 1. ovog člana uređuje Nacionalni CERT.".

Član 10.

U članu 12. stav 2. reči: "visoki riziciˮ zamenjuju se rečju "visokorizičniˮ.

Član 11.

U članu 13. dodaje se naziv člana koji glasi: "Samostalni operatori IKT sistemaˮ.

Član 12.

U članu 14. u nazivu člana i stavu 1. brišu se reči: "Nacionalni centar za prevenciju bezbednosnih rizika u IKT sistemimaˮ.

Član 13.

Član 15. menja se i glasi:

"Nadležnosti Nacionalnog CERTa

Član 15.

Nacionalni CERT prikuplja i razmenjuje informacije o rizicima za bezbednost IKT sistema, kao i događajima koji ugrožavaju bezbednost IKT sistema i u vezi toga obaveštava, pruža podršku, upozorava i savetuje lica koja upravljaju IKT sistemima u Republici Srbiji, kao i javnost, a posebno:

1)         prati stanje o incidentima na nacionalnom nivou,

2)         pruža rana upozorenja, uzbune i najave i informiše relevantna lica o rizicima i incidentima,

3)         reaguje po prijavljenim ili na drugi način otkrivenim incidentima u IKT sistemima od posebnog značaja, kao i drugim IKT sistemima u Republici Srbiji, tako što pruža savete i preporuke na osnovu raspoloživih informacija licima koja su pogođena incidentom i preduzima druge potrebne mere iz svoje nadležnosti na osnovu dobijenih saznanja,

4)         kontinuirano izrađuje analize rizika i incidenata,

5)         podiže svest kod građana, privrednih subjekata i organa vlasti o značaju informacione bezbednosti, o rizicima i merama zaštite, uključujući sprovođenje kampanja u cilju podizanja te svesti,

6)         vodi evidenciju Posebnih CERT-ova;

7)         izveštava Nadležni organ na kvartalnom nivou o preduzetim aktivnostima.

Nacionalni CERT obezbeđuje neprekidnu dostupnost svojih usluga putem različitih sredstava komunikacije.

Prostorije i informacioni sistemi Nacionalnog CERT-a moraju da se nalaze na bezbednim lokacijama.

U cilju obezbeđivanja kontinuiteta rada, Nacionalni CERT treba da:

1)         bude opremljen sa odgovarajućim sistemima za upravljanje incidentima;

2)         ima dovoljno zaposlenih kako bi se osigurala dostupnost u svako doba;

3)         obezbedi infrastrukturu čiji je kontinuitet osiguran, odnosno da obezbedi redundantne sisteme i rezervni radni prostor.

Nacionalni CERT neposredno sarađuje sa Nadležnim organom, Posebnim CERT-ovima u Republici Srbiji, sličnim organizacijama u drugim zemljama, sa javnim i privrednim subjektima, CERT-ovima samostalnih operatora IKT sistema, kao i sa CERT-om organa vlasti.

Nacionalni CERT promoviše usvajanje i korišćenje propisanih i standardizovanih procedura za:

1)         upravljanje i saniranje rizika i incidenata;

2)         klasifikaciju informacija o rizicima i incidentima, odnosno klasifikaciju prema nivou incidenata i rizika.ˮ

Član 14.

Posle člana 15. dodaje se član 15a, koji glasi:

"Saradnja CERT-ova u Republici Srbiji

Član 15a

Nacionalni CERT, CERT organa vlasti i CERT-ovi samostalnih operatora IKT sistema održavaju kontinuiranu saradnju.

CERT-ovi iz stava 1. ovog člana održavaju međusobne sastanke u organizaciji Nacionalnog CERT-a najmanje tri puta godišnje, kao i po potrebi u slučaju incidenata koji značajno ugrožavaju informacionu bezbednost u Republici Srbiji.

Sastancima CERT-ova iz stava 1. ovog člana prisustvuju i predstavnici Nadležnog organa.

Sastancima CERT-ova iz stava 1. ovog člana mogu, po pozivu, da prisustvuju i predstavnici posebnih CERT-ova, kao i druga lica.ˮ

Član 15.

U         članu 16. dodaje se naziv člana koji glasi: "Nadzor nad radom Nacionalnog CERT-aˮ

Član 16.

U         članu 17. stav 5. reči: "Nadležni organˮ zamenjuju se rečima: "Naciolani CERTˮ.

Član 17.

U         članu 18. i u nazivu člana reči "republičkim organima vlastiˮ u određenom padežu zamenjuju se rečima "organima vlastiˮ.

U         stavu 1. brišu se reči: "Centar za bezbednost IKT sistema u republičkim organima (u daljem tekstu:)ˮ.

Član 18.

U         članu 19. dodaje se naziv člana koji glasi: "CERT samostalnog operatora IKT sistemaˮ.

U         stavu 2. reči: "republičkih organaˮ zamenjuju se rečima: "organa vlastiˮ.

Član 19.

Posle člana 19. dodaju se naziv člana i član 19a, koji glasi:

"Zaštita dece pri korišćenju informaciono-komunikacionih tehnologija Član 19a

Nadležni organ preduzima preventivne mere za bezbednost i zaštitu dece na internetu, kao aktivnosti od javnog interesa, putem edukacije i informisanja dece, roditelja i nastavnika o prednostima, rizicima i načinima bezbednog korišćenja interneta, kao i putem jedinstvenog mesta za pružanje saveta i prijem prijava u vezi bezbednosti dece na internetu, i upućuje prijave nadležnim organima radi daljeg postupanja.

Operator elektronskih komunikacija koji pruža javno dostupne telefonske usluge dužan je da omogući svim pretplatnicima uslugu besplatnog poziva prema jedinstvenom mestu za pružanje saveta i prijem prijava u vezi bezbednosti dece na internetu.

U slučaju da navodi iz prijave upućuju na postojanje krivičnog dela, na povredu prava, zdravstvenog statusa, dobrobiti i/ili opšteg integriteta deteta, na rizik stvaranja zavisnosti od korišćenja interneta, prijava se prosleđuje nadležnom organu vlasti radi postupanja u skladu sa utvrđenim nadležnostima.

Nadležni organ je ovlašćen da vrši obradu podataka o licu koje se obrati Nadležnom organu radi informisanja i savetovanja u vezi sa bezbednošću i zaštitom dece na internetu i podnošenja prijave u slučaju narušavanja ili ugrožavanja bezbednosti dece na internetu, u skladu sa zakonom i drugim propisima.

Obrada podataka o licu iz stava 4. ovog člana obuhvata ime, prezime i broj telefona i/ili adresu elektronske pošte i vrši se u skladu sa zakonom koji uređuje zaštitu podataka o ličnosti, u svrhu upućivanja prijave nadležnim organima radi daljeg postupanja, u skladu sa zakonom.

U         cilju obezbeđivanja kontinuiteta rada jedinstvenog mesta za pružanje saveta i prijem prijava u vezi bezbednosti dece na internetu, nadležni organ treba da:

1)         bude opremljen sa odgovarajućim sistemima za prijem prijava;

2)         ima dovoljno zaposlenih kako bi se osigurala dostupnost u radu;

3)         obezbedi infrastrukturu čiji je kontinuitet osiguran.

Vlada bliže uređuje način sprovođenja mera za bezbednost i zaštitu dece na internetu iz st. 1. i 3. ovog člana.ˮ

Član 20.

U         članu 20. st. 1. i 5. reči: "pravno liceˮ u odgovarajućem padežu zamenjuju se rečima: "operator IKT sistema od posebnog značajaˮ.

U         stavu 1. dodaju se tač. 1) i 5), koje glase:

 1)        "ne izvrši upis u evidenciju u roku iz člana 6a ovog zakona;ˮ

5)         "ne dostavi statističke podatke iz člana 11b ovog zakona;ˮ

Dosadašnje tač. 1), 2), 3) i 4) postaju tač. 2), 3), 4) i 6).

Član 21.

Član 31. menja se i glasi:

"Član 31.

Novčanom kaznom u iznosu od 50.000,00 do 500.000,00 dinara kazniće se za prekršaj operator IKT sistema od posebnog značaja ako o incidentima u IKT sistemu ne obavesti organe iz člana 11. st. 1,2. i 4.ovog zakona.

Za prekršaj iz stava 1. ovog člana kazniće se i odgovorno lice u operatoru IKT sistema od posebnog značaja novčanom kaznom u iznosu od 5.000,00 do 50.000,00 dinara.ˮ.

Član 22.

Ovaj zakon stupa na snagu osmog dana od dana objavljivanja u "Službenom glasniku Republike Srbije".

IZ OBRAZLOŽENjA

II.         RAZLOZI ZA DONOŠENjE ZAKONA

Zakon o informacionoj bezbednosti ("Službeni glasnik RS", br. 6/16 i 94/17) donet je u januaru 2016. godine i uredio je mere zaštite od bezbednosnih rizika u informaciono-komunikacionim sistemima, odgovornosti pravnih lica prilikom upravljanja i korišćenja informaciono-komunikacionih sistema i nadležne organe za sprovođenje mera zaštite, koordinaciju između činilaca zaštite i praćenje pravilne primene propisanih mera zaštite. Ovaj zakon donet je u periodu pre usvajanja Direktive EU o merama za visok nivo bezbednosti mrežnih i informacionih sistema u Evropskoj uniji broj 2016/1148 (NIS direktiva), koja je usvojena u julu 2016. godine. Iako je bio donet pre usvajanja ove direktive, Zakon je u velikoj meri usklađen sa ovom direktivom, budući da sadrži rešenja koja odgovaraju odredbama navedene direktive. Izradi Nacrta zakona o izmenama i dopunama Zakona o informacionoj bezbednosti pristupilo se prvenstveno iz dva razloga: prvi je preostalo usklađivanje sa odredbama NIS direktive radi postizanja potpune usaglašenosti, a drugi je unapređenje postojećih zakonodavnih rešenja na bazi potreba utvrđenih na osnovu dosadašnje primene zakona.

Radi preostalih usklađivanja sa NIS direktivom, u Nacrtu zakona izvršene su sledeće izmene i dopune:

-           dopuna oblasti u kojima se koriste IKT sistemi od posebnog značaja, i to oblast digitalne infrastrukture i usluga informacionog društva (član 6.);

-           određeno je da se pre javnog objavljivanja obaveštenja o incidentu od strane nadležnog organa izvrše prethodne konsultacije sa operatorom IKT sistema od posebnog značaja koji je dostavio obaveštenje o incidentu (član 11.);

-           predviđena je dopuna odredaba o Nacionalnom CERT-u koje se odnose na njegovu nadležnost i potrebne kapacitete (član 15.).

Tokom primene zakona utvrđena je potreba za izmenom i dopunom određenih normi, u cilju efikasnijeg sprovođenja zakona u praksi. Shodno tome, Nacrtom zakona predviđeno je sledeće:

-           uključivanje Narodne banke Srbije u rad Tela za koordinaciju poslova informacione bezbednosti (član 5.);

-           dopuna oblasti u kojima se koriste IKT sistemi od posebnog značaja (proizvodnja i snabdevanje hemikalijama, član 6.);

-           taksativno su nabrojane obaveze IKT sistema od posebnog značaja (član 6a);

-           uspostavljanje Evidencije operatora IKT sistema od posebnog značaja (član 6b);

-           definisan je način obaveštavanja o incidentima koji značajno ugrožavaju informacionu bezbednost preko portala Nadležnog organa ili Nacionalnog CERT-a u jedinstveni sistem za prijem obaveštenja o incidentima (član 11.);

-           obaveza Narodne banke Srbije, RATEL-a i Centra za bezbednost IKT sistema u organima javne vlasti da dobijena obaveštenja o incidentu proslede Nadležnom organu (član 11.);

-           dostavljanje obaveštenja o incidentu koji je povezan sa značajnim narušavanjem informacione bezbednosti, koje ima ili može imati za posledicu ugrožavanje nacionalne bezbednosti, Bezbednosno-informativnoj agenciji (član 11.);

-           definisani su incidenti koji treba da se prijave, a koji mogu da imaju značajan uticaj na narušavanje informacione bezbednosti (član 11a);

-           određena je obaveza IKT sistema od posebnog značaja da dostavljaju statističke podatke o incidentima koji mogu da imaju značajan uticaj na narušavanje informacione bezbednosti (član 11b);

-           definisana je saradnja CERT-ova u Republici Srbiji (član 15a);

-           dodate su odredbe o zaštiti dece pri korišćenju informaciono-komunikacionih tehnologija (član 19a).

Navedene izmene zakona doprineće boljoj povezanosti svih relevantnih aktera u oblasti informacione bezbednosti, budući da se Nacrtom zakona predviđa uspostavljanje evidencije o IKT sistema od posebnog značaja. Na taj način Nadležni organ i Nacionalni CERT imaće mogućnost intenzivnije saradnje sa svim operatorima IKT sistema od posebnog značaja, naročito u slučaju kada se dešava incident, ali u smislu pružanja podrške, preporuke i saveta za zaštitu IKT sistema od posebnog značaja.

Značajno unapređenje leži i u činjenici da je Nadležni organ uspostavio Jedinstveni sistem za prijem obaveštenja o incidentima, tako da IKT sistemi od posebnog značaja obaveštenja mogu prosleđivati preko portala Nadležnog organa i Nacionalnog CERT-a. Ovo rešenje doprinosi efikasnosti prijavljivanja incidenata, kao i potpunoj informisanosti svih relevantnih učesnika (Nadležni organ, Nacionalni CERT) koji potom mogu da učestvuju u otklanjanju incidenta.

Takođe, Nacrt zakona predviđa odredbe o Nacionalnom CERT-u koje se odnose na jačanje kapaciteta Nacionalnog CERT-a, kako bi se uspostavilo blagovremena i efikasna podrška u slučaju incidenta, a za takvu vrstu podrške neophodno je stručno osoblje, odgovarajuća infrastruktura u smislu opreme i prostorija za rad, čije obezbeđivanje je predviđeno Nacrtom zakona. Kako Nacionalni CERT ima i ulogu prevencije u oblasti informacione bezbednosti, predviđeno je dostavljanje statističkih podataka od strane IKT sistema od posebnog značaja na bazi kojih će Nacionalni CERT imati mogućnost izrade adekvatnih analiza u oblasti informacione bezbednosti i na bazi toga pripremati preporuke i savete za mere zaštite u ovoj oblasti.

 S obzirom da je prepoznata potreba za kontinuiranom saradnjom CERT-ova u Republici Srbiji, predviđene su odredbe kojima se definiše ova saradnja kroz organizaciju redovnih zajedničkih sastanaka, a posebno u slučaju incidenata koji značajno ugrožavaju informacionu bezbednost u Republici Srbiji.

Imajući u vidu važnost pitanja bezbednosti dece na internetu, Nacrtom zakona definisane su odredbe kojima se predviđaju mere za bezbednost i zaštitu dece na internetu, kao i generalno prilikom korišćenja informaciono-komunikacionih tehnologija.

III.        OBJAŠNjENjE OSNOVNIH PRAVNIH INSTITUTA I POJEDINAČNIH REŠENjA

Članom 1. definisana je izmena pojma organi javne vlasti u pojam organi vlasti.

Članom 2. izvršene su izmene pojedinih pojmova, izmena definicija organa vlasti i informacionih dobara, i dodate su definicije koje se odnose na usluge informacionog društva i pružaoce usluga informacionog društva.

Članom 3. dodat je novi član kojim se definiše obaveza obrade podataka o ličnosti u skladu za propisima kojima se uređuje zaštita podataka o ličnosti.

Članom 4. predviđeno je uključivanje Narodne banke Srbije u Telo za koordinaciju informacione bezbednosti i izvršene dati su puni nazivi Nacionalnog CERTa i CERTa organa javne vlasti.

Članom 5. izvršena je izmena u definicije IKT sistema od posebnog značaja, tako što su IKT sistemi koji se koriste u obavljanju delatnosti od opšteg interesa i drugim delatnostima grupisani prema oblastima i tako što je dopunjena lista sa oblašću digitalna infrastruktura i usluge informacionog društva. Takođe je predviđena i dodatna kategorija IKT sistema od posebnog značaja i to: pravna licima i ustanove koje osniva Republika Srbija, autonomna pokrajina ili jedinica lokalne samouprave za obavljanje delatnosti od opšteg interesa.

Članom 6. dodata su dva nova člana kojim se definišu obaveze operatora IKT sistema od posebnog značaja i vođenje evidencije o IKT sistemima od posebnog značaja.

Članom 7. su radi preciziranja izvršene su izmene pojedinih pojmova.

Članom 8. predviđene su izmene u postupku obaveštavanja o incidentima. Definisan je način obaveštavanja o incidentima koji značajno ugrožavaju informacionu bezbednost preko portala Nadležnog organa ili Nacionalnog CERT-a u jedinstveni sistem za prijem obaveštenja o incidentima. Predviđene su obaveze Narodne banke Srbije, RATEL-a i Centra za bezbednost IKT sistema u organima javne vlasti da dobijena obaveštenja o incidentu proslede Nadležnom organu. Takođe je predviđeno dostavljanje obaveštenja o incidentu koji je povezan sa značajnim narušavanjem informacione bezbednosti, koje ima ili može imati za posledicu ugrožavanje nacionalne bezbednosti, Bezbednosno-informativnoj agenciji.

 Članom 9. dodati su novi članovi koji definišu incidente koji treba da se prijave, a koji mogu da imaju značajan uticaj na narušavanje informacione bezbednosti i određena je obaveza IKT sistema od posebnog značaja da dostavljaju statističke podatke o incidentima koji mogu da imaju značajan uticaj na narušavanje informacione bezbednosti

Članom 10. radi preciznosti su izmenjeni pojedini pojmovi.

Članom 11. dopunjen je naziv člana.

Članom 12. radi preciznosti su izmenjeni pojedini pojmovi.

Članom 13. izvršena je izmena odredaba o Nacionalnom CERT-u koje se odnose na njegovu nadležnost i potrebne kapacitete posebno u delu koji se tiče stručnog kadra, oprema i prostora za rad.

Članom 14. dodat je novi član koji predviđa saradnju CERT-ova u Republici Srbiji kroz organizaciju redovnih zajedničkih sastanaka, a posebno u slučaju incidenata koji značajno ugrožavaju informacionu bezbednost u Republici Srbiji.

Članom 15. dopunjen je naziv člana.

Članom 16. predviđeno je da Nacionalni CERT donosi akt kojim se bliže uređuju uslovi za upis Posebnih CERT-ova u evidenciju koju vodi Nacionalni CERT.

Članom 17. radi preciznosti izmenjeni su pojedini pojmovi.

Članom 18. dopunjen je naziv člana.

Članom 19. dodat je novi član koji su definisane odredbe kojima se predviđaju mere za bezbednost i zaštitu dece na internetu, kao i generalno prilikom korišćenja informaciono-komunikacionih tehnologija.

Članom 20. predviđen su nove kaznene odrede koje se odnose na prekršaj u slučaju da operator IKT sistema ne izvrši upis u evidenciju i zakonskom roku, kao i prekršaj u slučaju nedostavljanja statističkih podataka.

Članom 21. radi preciziranja su izmenjeni pojedini pojmovi.

Članom 22. predviđeno je stupanje na snagu zakona osmog dana od dana objavljivanja u "Službenom glasniku Republike Srbijeˮ.

Izvor: Vebsajt Ministarstvo trgovine, turizma i telekomunikacija, 04.02.2019.